SQUID 2.5 или 2.6?

[Sova]

Собственно вопрос в теме
Что лучше ставить?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[dikens3]

А в портах 2.5 ещё есть?

[Sova]

есть

Код: Выделить всё

/usr/ports/www #cd /usr/ports/www/sq
sqstat/             squid25/            squidclients/       squidpurge/         squidview/          squishdot/
squid/              squid_radius_auth/  squidguard/         squidtimes/         squirm/

[dikens3]

Смотри сам:

# portversion -vl "<" | grep squid
squid-2.5.14_4 < needs updating (port has 2.6.13)

Мысль ясна?

[Sova]

да
будем ковырять прозрачный прокси

А кто может показать конфиг на 2.6? Хоть "рыбу". На сайте описывается 2.5 а тут 2.6
Или там нет принципиальной разницы? за исключением того что в 2.5 писалось три строчки, а в 2.5 одна

[dikens3]

да
будем ковырять прозрачный прокси

А кто может показать конфиг на 2.6? Хоть "рыбу". На сайте описывается 2.5 а тут 2.6
Или там нет принципиальной разницы? за исключением того что в 2.5 писалось три строчки, а в 2.5 одна

Там вроде 2-е строчки.

Код: Выделить всё

http_port IP:3128 transparent
always_direct allow all

[Sova]

Особо внимательно пока не вглядывался, может быть....

[Sova]

Squid собирался с параметрами:
delay_pools
Ident
arp_acl
Icap
kqveve
Путем изучения конфига и поисков в инете пришел к примеру к такому конфигу:

Код: Выделить всё

# указываем то что он прозрачный
http_port 3128 transparent   

# squid не будет кешировать динамически генерируемые страницы (поисковые сервера,  некоторые другие серверы и чаты), а будет напрямую перенаправлять запрос серверу.
hierarchy_stoplist cgi-bin ?


# эти две строки примерно аналогичны предыдущей, но касательно кэша... то есть если  каким-либо данные странички попали в кэш (ну например работал сквид без #предыдущей строчки некоторое время), то они немедленно удаляются из кеша.
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY

# сколько оперативной памяти сквид может забрать под свои нужды. По умолчанию стоит 8 мегабайт, что хватит лишь при очень слабой загрузке (правда у меня только 512.
cache_mem 128 MB

maximum_object_size 2000 KB
# максимальный размер объектов, которые будут сохранены на диск. По умолчанию стоит  4096 килобайт

maximum_object_size_in_memory 1000 KB
# максимальный размер объектов, которые будут сохранены в кэше. По умолчанию стоит 8 килобайт.

cache_dir ufs /var/cache 2048 64 256
# указывает сквиду, где сохранять кешируемые файлы. (под кэш у меня отдельный раздел /var/cache)/ Указывает отдать под кеш 20048 мегабайт и создать 64 и 256 соответственно каталогов 1го и 2го уровня.

refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern .		0	20%	4320
# в этих трех строках мы указываем сколько времени в минутах объект в кеше #считается свежим и какой процент объектов оставлять с последнего обновления.

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localnet src 192.168.0.0/24
acl SSL_ports port 443 563
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443 563     # https, snews
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Icq_port port 5190          # icq
acl Irc_port port 6667          # irc
acl MSN_port port 1863          # msn messager
acl CONNECT method CONNECT
# Здесь с помощью acl мы задаем localhost, локальную сеть, порты на которые мы #разрешим выходить программам через наш прокси. Также указываем manager протокол #cache_object, используемого для управления и мониторинга кеша
# acl CONNECT method CONNECT (надо не надо?)
включает поддержку проброски соединения с помощью команды протокола CONNECT.
acl sova arp XX:XX:XX:XX:XX:XX      
acl user1 arp XX:XX:XX:XX:XX:XX
acl user2 arp XX:XX:XX:XX:XX:XX                
acl user3 arp XX:XX:XX:XX:XX:XX
с помощью acl...arp указываем МАС адреса сетевых карт пользователей, которым мы в дальнейшем разрешать/запрещать доступ к интернету. вместо XX:XX:XX:XX:XX:XX указываем МАС адрес сетевой карты компьютера пользователя. (Иногда полезно бывает).

acl stop_files url_regex -i .mp3$ .vqf$ .rpm$ .avi$ .mpeg$ .mpe$ .mpg$ .qt$ .ram$ .rm$ .raw$ .wav$ .mov$ .ogg$ .exe$ .com$
здесь мы указываем расширения файлов которые мы запретим для закачки.
acl StopWWW dstdomain "/usr/local/etc/squid/stopWWW.acl"
здесь указываем файл в котором указываем адреса сайтов на которые нельзя ходить юзерам. файл имеет такой вид 
.zaycev.net
.rmp.ru
.berkova.net
.sexmovies.ru
.mp3real.ru
.erovideo.ru
.muzudar.ru
это как бы подборка сайтов sex содержания и с mp3, т.к. в stop_files мы не закрыли архивы, а на некоторых сайтах лежат mp3 с расширением например rar, и пользователи могут закачивать музыку потом меняя расширение у файлов, поэтому я решил запрещать сами сайты. 
http_access allow sova
http_access deny stop_files
http_access allow user1
http_access allow user2
http_access allow user3
Здесь мы разрешаем с помошь http_access allow доступ до интернета, а используя http_access deny запрещаем выкачивать stop_files с расширениями указанными выше. Обратите внимание что разрешение доступа до интернета для пользователя sova стоит выше запрета на закачку stop_files. Это сделано для того чтобы на пользователя sova не действовал запрет не закачку stop_files, а на остальных пользователей которым разрешен доступ до интернета указанным после запрета на stop_files этот запрет действует. 
http_access allow CONNECT Icq_port
http_access allow localnet Icq_port
http_access allow CONNECT Irc_port
http_access allow localnet Irc_port
http_access allow CONNECT MSN_port
http_access allow localnet MSN_port
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all
В этих строках разрешаем использования метода CONNECT для локальной сети на Icq_port,Irc_port,MSN_port, разрешаем доступ maneger доступ до localhost. Запрещаем использование всех портов кроме Safe_ports, запрещаем метод CONNECT на все порты кроме SSL_ports, и в конце все запрещаем. Знак “!” используется как НЕ, т.е. если дословно http_access deny !Safe_ports запретить http доступ НЕ Safe_ports. 

http_reply_access allow all
# Разрешаем ответы на все запросы. 

visible_hostname proxy
это имя будет упоминаться в сообщениях об ошибках.  

icon_directory /usr/local/etc/squid/icons
Указываем католог с иконками 


error_directory /usr/local/etc/squid/errors/Russian-koi8-r
Указываем католог с шаблонами страниц ошибок на нужном языке и в нужной кодировке, в нашем случае язык русский в Koi8-r кодировке 

Что так а что не так? Что может лишнее а что добавить?

[Dog]

Вроде как по рассылкам и форумам мелькали рекомендации при сборке убирать kqueue, с этим параметром большие закачки рвались. Хотя может в какой-то из последних сборок этот баг и пофиксили.

[f0s]

правильно ли я понимаю, что при прозрачном прокси нельзя юзать аутентификацию лдап? если домена самба pdc+ldap

[Alex Keda]

при прозрачном прокси - вообще нельзя юзать аутентификацию.